Een hangslot op een laptop met lichtsporen, symbool voor digitale beveiliging en wachtwoordbeheer.
Nieuws17 juli · 08:104 min leestijd

Wachtwoordmanager Passwork oogt Europees maar is Russisch en FSB-gecertificeerd

Passwork oogt als een Europese wachtwoordmanager, maar is Russisch en FSB-gecertificeerd, en draait bij Nederlandse energie-, omroep- en IT-bedrijven. Onderzoek toont dat de Russische en Europese versie vrijwel identieke, gesynchroniseerde updates delen.

Passwork, een wachtwoordmanager die zich in de markt zet als ‘Made in EU’, is in werkelijkheid Russisch en FSB-gecertificeerd, en draait bij Nederlandse energie-, omroep- en IT-bedrijven. Dat blijkt uit onderzoek van het journalistencollectief OCCRP met de Nederlandse partners Investico en De Groene Amsterdammer, gepubliceerd op 17 juli 2026.

Voor elke organisatie die wachtwoordsoftware inkoopt is dit een concrete leveranciersbeslissing, geen ver-van-je-bed-verhaal. Een wachtwoordmanager bewaart letterlijk de sleutels tot al je systemen: serverlogins, beheeraccounts, betaalomgevingen. Draait die software bij een partij die code en updates deelt met een FSB-gecertificeerde Russische tak, dan verplaats je dat hele sleutelbos naar een jurisdictie waar je geen zicht op hebt. Het is precies het soort jurisdictierisico dat digitale soevereiniteit tot een kwestie van risicobeheer maakt, niet van politiek.

Een Europees uithangbord

Passwork verkoopt zichzelf als Europees product, maar heeft een licentie van de Russische geheime dienst FSB en probeert die herkomst te verdoezelen. Het bedrijf is in 2014 opgericht in het Russische Archangelsk, staat in het officiële Russische register voor binnenlandse software en levert aan gesanctioneerde defensiebedrijven zoals raketmaker Avangard en vliegtuigbouwer United Aircraft Corporation. Sinds de Russische inval in Oekraïne loopt de Europese tak via een Spaanse brievenbusfirma onder Alexander Muntyan, die volhoudt dat er “geen gedeelde klanten, servers, ondersteuning of klantdata” zijn met de Russische organisatie.

Identieke code, gesynchroniseerde updates

De kern van het risico zit in de techniek. De Russische passwork.ru en de Europese passwork.pro brengen hun updates op vrijwel hetzelfde moment en met identieke omschrijvingen uit: op 6 april 2026 kondigde passwork.ru versie 7.6 aan, een dag later verscheen bij passwork.pro dezelfde ‘Passwork Pro 7.6’ met woordelijk gelijke functiebeschrijvingen. De twee sites zijn vrijwel identiek, deelden eerder dezelfde webhosting en marketingaccounts, en de handleidingen verschillen alleen in taal. Dat wijst op gedeelde code, en gedeelde code betekent dat een kwaadaardige update in theorie vanuit Moskou wachtwoorden kan buitmaken.

De interface van wachtwoordmanager Passwork toont een gedeelde bedrijfskluis met serverwachtwoorden, logins en TOTP-codes. Bron: Passwork (passwork.pro)
De interface van wachtwoordmanager Passwork toont een gedeelde bedrijfskluis met serverwachtwoorden, logins en TOTP-codes. Bron: Passwork (passwork.pro)

Cybersecurity-expert Ronald Prins noemt het ‘enigszins naïef’ om aan te nemen dat wachtwoorden veilig zijn zolang ze lokaal staan: “ze kunnen gewoon vanuit Moskou inloggen”. Bart van den Berg van instituut Clingendael waarschuwt dat het onverstandig is om de digitale sleutels aan zo’n partij te geven: “dat is veel te gevaarlijk”.

Bij welke Nederlandse bedrijven

Onder de Nederlandse gebruikers zitten zonnepark-ontwikkelaar Novar (voorheen Solarfields, dat het grootste zonnepark van Nederland aanlegde), de regionale omroep RTV Noord en IT-dienstverlener Lucrasoft. Die laatste is het meest verstrekkend: Lucrasoft gebruikt Passwork niet alleen zelf, maar installeert en verkoopt het ook door aan mkb-klanten, waardoor het risico zich vertakt naar bedrijven die de naam Passwork misschien nooit hebben gehoord. Novar stopte direct na de melding; RTV Noord bleef de software voorlopig gebruiken.

Waarom dit verder reikt dan één tool

De FSB is geen abstracte dreiging. Dezelfde dienst zit achter de campagne waarvoor CISA en de NSA onlangs waarschuwden dat staatshackers van FSB Center 16 wereldwijd slecht beveiligde routers kapen. Een wachtwoordmanager met een FSB-licentie in datzelfde dreigingsbeeld is een veel directer probleem dan een gekaapte router: die bewaart de wachtwoorden zelf.

De echte les zit niet in Passwork alleen, maar in het verschil tussen een marketinglabel en de werkelijke eigenaar. ‘Made in EU’ op een website zegt niets over onder welke jurisdictie je data valt of wie technisch bij de servers kan. Bij een tool die de sleutels tot je hele digitale huishouding bewaart, is dat het eerste wat je zou moeten natrekken, niet het laatste. Wie zijn leveranciers systematisch wil doorlichten, kan elke kritieke leverancier in een afhankelijkheidsregister wegen op jurisdictie, continuïteit en zeggenschap.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je digitale leveranciers

Wil je weten welke tools de sleutels tot jouw systemen in handen hebben en waar die data echt staat? Ik breng je afhankelijkheden in kaart en bouw waar het kan self-hosted alternatieven die je zelf in beheer houdt, van meedenken en ontwerp tot realisatie.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Russische staatshackers kapen routers, waarschuwen CISA en NSA
Nieuws
5 min

14 jul 04:12

Russische staatshackers kapen routers, waarschuwen CISA en NSA

CISA, de NSA en acht andere landen waarschuwen dat Russische FSB-hackers wereldwijd slecht beveiligde routers kapen om ze als proxy te misbruiken. Elk bedrijf met verouderde of standaard ingestelde netwerkapparatuur is doelwit.

NCSC en partners publiceren CVD-richtlijn: geen stille patches of zwijgcontracten
Nieuws
4 min

15 jul 18:24

NCSC en partners publiceren CVD-richtlijn: geen stille patches of zwijgcontracten

Vijf overheids-cyberdiensten, waaronder het NCSC en de Amerikaanse CISA, publiceren een gezamenlijke richtlijn voor het melden van kwetsbaarheden. De kernboodschap aan softwaremakers: patch niet stiekem en leg beveiligingsonderzoekers geen zwijgcontract op.

CISA scant overheidscode met Anthropics Mythos op kwetsbaarheden
Nieuws
4 min

7 jul 00:09

CISA scant overheidscode met Anthropics Mythos op kwetsbaarheden

De Amerikaanse cyberdienst CISA gebruikt Anthropics AI-model Mythos nu operationeel om overheidscode te scannen op lekken, meldt Reuters. Daarmee verschuift AI-codeaudit van een eenmalige test naar dagelijks werk binnen een nationale cyberdienst, met een duidelijke politieke keerzijde.

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op
Nieuws
4 min

1 jul 02:05

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op

Iets minder dan drie weken na het exportbevel heft de VS de blokkade op Anthropics krachtigste modellen Fable 5 en Mythos 5 volledig op. Het topmodel keert terug, maar de les over afhankelijkheid blijft staan.

VS looft 10 miljoen uit voor Russische hackers die Signal en WhatsApp kapen
Nieuws
5 min

30 jun 02:31

VS looft 10 miljoen uit voor Russische hackers die Signal en WhatsApp kapen

Het Amerikaanse Rewards for Justice-programma biedt tot 10 miljoen dollar voor informatie over twee Russische groepen die via social engineering Signal- en WhatsApp-accounts overnemen, een trucendoos die ook gewone bedrijven raakt.

FBI en CISA: Russische hackers phishen nu Signal-backup-sleutels die je hele berichthistorie ontsluiten
Nieuws
5 min

27 jun 02:38

FBI en CISA: Russische hackers phishen nu Signal-backup-sleutels die je hele berichthistorie ontsluiten

Twee Amerikaanse overheidsdiensten waarschuwen dat de Russische inlichtingendienst Signal-gebruikers via phishing hun backup-sleutel ontfutselt, de sleutel waarmee een aanvaller je volledige berichtgeschiedenis op zijn eigen toestel terugzet.